Какие вопросы задать вашему айтишнику, чтобы понять, что компания защищена от хакерских атак

Когда я спрашиваю представителей бизнеса, как они занимаются информационной безопасностью в своей компании, часто слышу в ответ: «Ну, надеюсь, у меня айтишник этим занимается». Расскажу, как проверить своего айтишника на прочность.

Какие вопросы задать вашему айтишнику, чтобы понять, что компания защищена от хакерских атак

Привет! С вами Кирилл Манжура, CEO IT-интегратора LARD. Мы помогаем компаниям выявлять потенциальные уязвимости и внедрять системы информационной безопасности (ИБ). По своему опыту знаю, что бизнес часто не придает должного значения этому аспекту, полагаясь на IT-специалистов. При этом руководитель не обладает знаниями для проверки их работы.

Подготовил чек-лист, который поможет вам в этой задаче. Просто задайте следующие вопросы своему системному администратору, IT-специалисту или руководителю IT-отдела и внимательно выслушайте их ответы, чтобы выявить слабые места в защите данных.

Оговорюсь: статья ориентирована на руководителей в малом и среднем бизнесе. В компаниях Enterprise-сегмента для выявления уязвимостей и слабых мест в ИБ существуют специальные отделы, у которых есть отработанный алгоритм действий.

У всех ли сотрудников установлены уникальные пароли, в том числе для разных сервисов?

Идеальная ситуация — когда у каждого сотрудника уникальные пароли для каждого рабочего сервиса и у его коллег эти пароли также не дублируются. Недопустимо, чтобы одна комбинация букв, цифр и символов обеспечивала доступ как к почтовому ящику, так и к системе документооборота.

Единственное исключение — когда в компании используется технология единого входа, то есть пользователь переходит из одной системы в другую, не связанную с первой, без повторного ввода логина и пароля. Но и в этом случае пароли каждого сотрудника должны быть уникальными.

Узнайте у айтишника, где хранит пароли он сам и сотрудники компании. Администраторы могут использовать специализированные сервисы, при условии что они не сохраняют данные на бумаге или в незащищенных файлах вроде таблиц Excel. Сотрудники, в свою очередь, обязаны запоминать свои пароли и не записывать их на листочках у компьютеров.

Спросите, что будет происходить, если пароль скомпрометирован. У специалиста в области информационных технологий должен быть четкий порядок действий.

Пример грамотного ответа: «Если мы подозреваем, что пароль скомпрометирован, то незамедлительно меняем его и проверяем компьютер сотрудника антивирусом. Затем проводим аудит логов — текстовых файлов, в которых в хронологическом порядке записывается информация обо всех действиях пользователя в системе. Так мы выявляем всю подозрительную активность, связанную с пользователем. Анализируем, использовался ли пароль в то время, когда пользователь отсутствовал на рабочем месте, например в выходной день или во время отпуска. Таким образом мы минимизируем риски вторжения».

Как мы защищены от ботов в сети?

Миллионы сетей подвергаются сканированию вредоносных ботов, которые проверяют все IP-адреса подряд в поиске слабых мест и известных уязвимостей. Бот сканирует пул IP-адресов, обнаруживает уязвимый — например, адрес роутера в вашей компании — и сообщает об этом мошеннику.

Злоумышленник анализирует, как использовать данные: например, может слить конкурентам клиентскую базу. Если это резонно, с помощью специальных инструментов — эксплойтов — он получает доступ к данным компании, шифрует их и требует выкуп.

Чтобы не попасть под прицел вредоносных ботов, важно помешать им обнаружить уязвимости в системе. Для этого нужно обеспечить защиту от нежелательного сканирования. Практически каждый современный маршрутизатор (роутер) способен помочь в этом.

Защищенный маршрутизатор распознает, когда начинается сканирование. Обычно это происходит, когда один и тот же IP-адрес начинает проверять несколько портов в секунду. В таких случаях маршрутизатор автоматически добавляет подозрительный адрес в черный список и прекращает на него реагировать.

За простоту настройки защиты от сканирования ценятся маршрутизаторы MikroTik. В интернете есть огромное количество инструкций и рекомендаций по конфигурированию.

Пример грамотного ответа: «Наши маршрутизаторы настроены так, чтобы блокировать подозрительные IP-адреса, а еще мы используем современные межсетевые экраны и системы предотвращения вторжений (IPS), которые помогают обнаруживать подозрительную активность на ранних стадиях»

Как часто у нас обновляется ПО? Как часто мы проводим аудит наших компьютеров на наличие неиспользуемого ПО?

Большая часть взломов происходит на устаревшем или пиратском софте. В нем всегда находятся уязвимые точки, которые являются мишенями для эксплойтов — вредоносных программ.

Спросите у айтишника, как санкции повлияли на вашу компанию. Пришлось ли вам устанавливать нелицензионное программное обеспечение? Если да, то как вы обеспечиваете его безопасность: обновляете ли эти программы или ограничиваете их доступ с помощью правил на файрволе.

Узнайте, какие антивирусы установлены на ваших компьютерах: есть ли они вообще, а если да, то используете ли вы платные или бесплатные версии. Стоимость антивирусов не так велика, чтобы пренебрегать защитой компании.

Узнайте, как часто проводится аудит на наличие неиспользуемого ПО. Важно, чтобы на устройствах сотрудников не было лишних программ, которые могут конфликтовать между собой или самостоятельно выходить в интернет без ведома пользователя. Количество ПО, как и хранимых файлов, должно быть ограничено. Например, можно договориться, что на компьютерах сотрудников не должно быть никаких локальных файлов— все данные хранятся на сервере, что легко проверяется.

Пример грамотного ответа: «Мы используем лицензированный антивирус, например Касперский или Dr. Web. В нашей компании установлено лицензионное или open source ПО. Для выявления уязвимостей и оценки рисков хакерских атак у нас есть специальные сервисы. Они сканируют IP-адреса и сообщают об открытых портах, используемом софте и наличии известных уязвимостей. Например, после сканирования программа может сообщить: на данном IP-адресе работает Microsoft Exchange, не обновлялся два года, обнаружены три уязвимости с высоким риском (9 из 10 баллов), возможен доступ к данным. Это позволяет нам своевременно замечать проблемы и обновлять ПО, особенно программы, которые взаимодействуют с интернетом».

Есть ли в компании политика информационной безопасности?

Сотрудники организации часто становятся слабым звеном, на которое нацеливаются злоумышленники. Мошенники применяют различные методы социальной инженерии, чтобы получить данные компании. Например, они могут позвонить секретарю, представившись техподдержкой, и попросить доступ к компьютеру для проведения обновления. В 90% случаев секретарь соглашается, после чего на компьютере незаметно начинает работать программа, передающая сведения злоумышленнику.

Для предотвращения таких ситуаций необходимо, чтобы все действия сотрудников были регламентированы политикой информационной безопасности компании. Составить политику — задача руководителя отдела информационных технологий или руководителя отдела информационной безопасности. Если в компании есть только один системный администратор, то это его прямая ответственность.

Необязательно делать пятидесятистраничный документ, соответствующий какому-либо ГОСТу или стандарту ISO. Достаточно договориться о допустимых действиях сотрудников в различных ситуациях, учитывая защиту данных и потребности компании, и найти компромиссные решения.

Сотрудники должны четко понимать, чего делать нельзя: например, открывать письма от неизвестных отправителей, сообщать логины и пароли. Это нужно прописать в политике ИБ и проводить разъяснительные беседы с персоналом, а также периодически контролировать, как сотрудники выполняют регламент. За нарушения и безответственное отношение к политике ИБ можно ввести штрафы.

Пример грамотного ответа: «Да, у нас есть документ, вот он. А еще мы проводим регулярные встречи с сотрудниками, где рассказываем, как они могут распознать попытки фишинга и другие виды социальных атак».

Есть ли у нас разграничение прав доступа для сотрудников?

Неограниченные пользовательские права повышают риск скачать вредоносную программу, отключить антивирус или удалить нужные данные.

Узнайте у айтишника, может ли рядовой сотрудник установить на компьютер какую-либо игру или программное обеспечение. Он не должен иметь возможность запускать установщики ПО, устанавливать на компьютер программы или игры. Эти действия должны выполняться только администратором, причем заранее должно быть согласовано, в каком отделе какое ПО может быть установлено.

С помощью групповой политики системный администратор может заблокировать сотрудникам ПО, не относящееся к рабочим процессам. Например, бухгалтеру оставить доступ к 1С и системе отчетности, юристу — к сайтам с судебной практикой и другим нужным программам, а ко всему остальному доступ закрыть.

Чтобы не заблокировать нужные сервисы, необходимо вместе с сотрудником описать бизнес-процессы и понять, какие программы и сайты ему действительно нужны для работы.

Пример грамотного ответа: «Мы используем строгую политику управления правами доступа. Чтобы предотвратить несанкционированный доступ к сетевым ресурсам, у нас настроены ограничения на уровне доступов и правил. Например, в почтовом клиенте нельзя открывать подозрительные файлы в форматах… (перечисляет форматы). Сотрудник не сможет поставить лайк милому зайчику, которого ему прислали на почту, зато не откроет письмо с вирусом».

Есть ли у нас сотрудники, которые работают на своей технике? Как мы ее защищаем?

Личные ноутбуки и ПК потенциально опасны, ведь на них могут быть установлены пиратский софт, игры, несколько антивирусов, которые мешают друг другу работать (а может и вовсе не быть антивируса), куча браузеров с установленными расширениями. Подключение такого устройства к корпоративной сети компании значительно повышает риски заражения вирусами, утечки и шифрования данных.

Особенно это критично, если личное оборудование сотрудника интегрировано в локальную сеть и обменивается данными с другими корпоративными устройствами. Риск может быть снижен, если есть строгие ограничения доступа, когда сотрудник использует личное устройство исключительно для работы в интернете.

Пример грамотного ответа: «Сотрудник с личного устройства не имеет доступа к нашим внутренним ресурсам, он может выходить только в интернет. В этом случае он лишь отправляет письма, работает с гугл-таблицами или использует другие онлайн-инструменты».

Как наши гости и сотрудники подключаются к Wi-Fi?

Когда Wi-Fi — часть бизнес-процессов компании, но при этом доступен для всех сотрудников и гостей, он становится уязвимым для атак. Незащищенная сеть может быть взломана даже из автомобиля, припаркованного рядом с офисом, что может привести к остановке работы всей компании.

Очень важный вопрос: можно ли через Wi-Fi-сеть попасть на сервер? Сеть, которая используется в рабочих процессах, должна быть изолирована и доступна строго по назначению.

Например, на большом складе с сотней точек доступа персонал использует оборудование для сканирования штрихкодов, которое работает по Wi-Fi. А чтобы люди в обеденный перерыв могли отдохнуть и зайти в социальные сети, есть отдельный сегмент Wi-Fi, независимый от первого.

Пример грамотного ответа: «У нас изолированы сегменты Wi-Fi сети для сотрудников и для гостей компании. Защита сети обеспечена авторизацией по логину и паролю».

Согласно действующему законодательству, компании обязаны регистрировать и идентифицировать всех пользователей, которые подключаются к их сети Wi-Fi. В случае инцидента с IP-адреса компании соответствующие органы могут запросить информацию о том, кто был подключен к сети. И компания обязана предоставить эти данные, иначе ей грозят санкции. Для внештатных сотрудников подключение должно быть идентифицировано по номеру телефона.

Как у нас устроено резервное копирование и как часто мы его проводим?

При отсутствии резервных копий можно навсегда потерять важные данные не только из-за взлома и шифрования, но и многих других неприятностей, будь то поломка сервера или сбой электричества.

Идеальная практика — когда бэкап-сервер самостоятельно забирает данные из их хранилища, при этом исключен любой доступ к бэкап-серверу внутри сети. Это необходимо для защиты данных: в случае атаки хакера или активности шифровальщика данные на бэкап-сервере останутся в сохранности.

Оптимальную частоту резервного копирования каждая организация устанавливает самостоятельно, определив допустимый уровень потери данных за определенный период (день, два, три или неделя).

Раз в определенное количество дней, неделю или месяц нужно проводить «бэкап судного дня», то есть полное копирование всех данных на отдельный диск. Этот диск извлекается из компьютера или сервера и передается независимому лицу, не связанному с IT-отделом, для хранения вне офиса. Такой бэкап не будет самым актуальным, но обеспечит сохранность всех данных.

Пример грамотного ответа: «В соответствии с риск-менеджментом компании мы определили, как часто проводить резервное копирование, и делаем горячие бэкапы за последние пять рабочих дней — у нас пять таких бэкапов на отдельном сервере. Делаем долгосрочные бэкапы за последний месяц и храним в течение полугода. А еще систематически делаем офлайн-бэкап, диск с которым храним вне офиса. Все резервные копии независимы от остальных систем, и на них нельзя повлиять извне».

Как мы сейчас реагируем на инциденты? Есть ли у нас алгоритм действий в случае нештатной ситуации?

Например, спросите: что делать, если в офисе перестал работать интернет? Как поступить, если не функционирует почта? Каковы наши действия, если всю технику из офиса изымут, — имеется ли план, что и в какие сроки следует предпринимать?

У IT-специалистов всегда должен быть план восстановления (Disaster Recovery Plan). В нем должны быть описаны договоренности с бизнесом относительно того, как реагировать на ту или иную нештатную ситуацию, как восстанавливать систему — в какие сроки и на каком оборудовании. Иначе может возникнуть ситуация, когда резервная копия есть, но восстановить ее невозможно — например, из-за отсутствия подходящего оборудования.

В критической ситуации IT-специалист не должен поддаваться панике и действовать хаотично. У него должен быть четкий план восстановления.

Пример грамотного ответа: «Да, у нас есть план, все действия регламентированы политикой информационной безопасности. Я могу назвать четкие сроки и алгоритм действий для разных нештатных ситуаций».

В рамках беседы вы, возможно, не получите полностью объективную картину — IT-специалист может приукрасить некоторые моменты. Но вы заставите его задуматься: если к нему приходят с подобными вопросами, значит, необходимо что-то менять или как минимум настроиться на диалог с руководством.

Ведь часто бывает так, что проблемы не доводятся до собственника компании. Айтишники занимаются инцидент-менеджментом, то есть реагируют на критические ситуации в моменте. Например, когда у главного бухгалтера зависает компьютер, они просто приходят и перезагружают его. А нужно переводить IT-отдел в сторону проблем-менеджмента — когда IT-специалисты анализируют прошедший период и замечают, что компьютер у главного бухгалтера зависает стабильно два-три раза в неделю. И это уже не просто инцидент, а проблема. Значит, нужно найти решение, которое предотвратит повторение инцидента, сэкономив время как IT-специалиста, так и бухгалтера.

Если потенциальная проблема может привести к потере нескольких миллионов, а ее решение сейчас стоит, условно, двадцать тысяч (по меркам IT-специалиста — серьезная сумма, которую нелегко получить), бизнесу проще предоставить необходимое финансирование, чтобы избежать риска. Нужно, чтобы айтишник понимал это.

Прислушивайтесь к вашему IT-специалисту: если он приходит с дельными предложениями или запросами на финансирование оборудования или программного обеспечения для безопасности, не стоит сразу отказывать ему. Оцените риски, просчитайте, во сколько обойдётся его предложение и какие угрозы оно позволит устранить. Стоимость потенциальных рисков может быть несоизмеримо выше по сравнению с затратами на их предотвращение.

А если вы не до конца доверяете айтишнику, стоит провести независимый аудит. О нем и других инструментах защиты бизнеса и информационной безопасности я рассказываю у себя в телеграм-канале. Переходите посмотреть, а в комментариях пишите: есть ли у вас IT-специалист? Проверяли когда-нибудь его работу?

3535
33
43 комментария

Как убедить руководство в необходимости финансирования предложений IT-специалиста по безопасности?

Снесите нахрен сайт, и ждите когда они сами придут с запросом

2
1

Риск менеджмент
оцените во сколько обойдется простой компании в случае атаки и какие на этом фоне затраты на ИТ безопасность. Бизнесмены умеют считать деньги

1

Залочить босса, продать его машину. Сам потом будет молить "все сделать как надо" пока и квартиру не продали.

Какие шаги мы в первую очередь можем предпринять, чтобы уровень ИБ повысить?

1

Обозначьте какие сервисы и данные для компании самые важные, без доступа к котором остановится работа, обеспечьте в первую очередь их доступность и далее начинайте работу над их безопасностью. Если нет своего отдела ИБ или сильного ИТ специалиста, будет логичным привлекать аутсорс.

1

Если постоянно так надзирать за сотрудниками, боюсь, они будут меня ненавидеть ахаха

1